Der IPsec-Tunnelmodus wird hauptsächlich verwendet, um die Interoperabilität mit Routern, Gateways oder Endsystemen sicherzustellen, die keine Unterstützung für L2TP/IPsec- (Layer Two Tunneling-Protokoll/Internetprotokollsicherheit) oder PPTP-VPN-Tunnel (Point-to-Point Tunneling-Protokoll) bieten. Der IPsec-Tunnelmodus wird nur in Gateway-zu-Gateway-Tunnelszenarios und bei bestimmten Server-zu-Server- oder Server-zu-Gateway-Konfigurationen unterstützt. Beim VPN-Remotezugriff wird der IPsec-Tunnelmodus nicht unterstützt. Für Remotezugriff-VPN-Verbindungen sollte L2TP/IPsec oder PPTP verwendet werden.

Ein IPsec-Tunnel muss an beiden Enden der Verbindung definiert werden. An den jeweiligen Enden müssen die Einträge für den lokalen Tunnelcomputer und den Remotetunnelcomputer vertauscht werden (da der lokale Computer am einen Ende des Tunnels zugleich Remotecomputer am anderen Ende ist und umgekehrt).

Verwenden Sie die Windows-Firewall mit erweiterten Sicherheitseinstellungen, um das Layer-3-Tunneling in Szenarios zu verwenden, in denen L2TP nicht verwendet werden kann. Wenn Sie L2TP für Remoteverbindungen verwenden, ist keine IPsec-Tunnelkonfiguration erforderlich, da die Client- und Server-VPN-Komponenten dieser Windows-Version automatisch die Regeln zum Schützen des L2TP-Datenverkehrs erstellen.

Mit dieser Assistentenseite können Sie den Typ des IPsec-Tunnels konfigurieren, den Sie erstellen möchten. Ein IPsec-Tunnel wird normalerweise verwendet, um ein privates Netzwerk hinter einem Gateway entweder mit einem Remoteclient oder mit einem Remotegateway zu verbinden, hinter dem sich ein weiteres privates Netzwerk befindet. Der IPsec-Tunnelmodus schützt ein Datenpaket, indem er das ganze Datenpaket in einem IPsec-geschützten Paket kapselt und das IPsec-geschützte Paket dann zwischen den Tunnelendpunkten weiterleitet. Wenn dieses Paket am Zielendpunkt eintrifft, wird das Datenpaket extrahiert und dann zum endgültigen Ziel weitergeleitet.

So öffnen Sie diese Assistentenseite
  1. Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen mit der rechten Maustaste auf Verbindungssicherheitsregeln, und klicken Sie dann auf Neue Regel.

  2. Wählen Sie auf der Seite Regeltyp die Option Tunnel aus.

  3. Wählen Sie unter Schritte die Option Tunneltyp aus.

Benutzerdefinierte Konfiguration

Aktivieren Sie diese Option, um alle Endpunktkonfigurationsoptionen auf der Seite Tunnelendpunkte – Benutzerdefinierte Konfiguration zu aktivieren. Sie können die IP-Adressen der Computer, die als Tunnelendpunkte fungieren, und der Computer angeben, die sich in privaten Netzwerken hinter den einzelnen Tunnelendpunkten befinden. Weitere Informationen finden Sie unter Assistent für neue Verbindungssicherheitsregel: Tunnelendpunkte (Seite) – Benutzerdefinierte Konfiguration.

Client-zu-Gateway

Aktivieren Sie diese Option, wenn Sie eine Regel für einen Clientcomputer erstellen möchten, der eine Verbindung mit einem Remotegateway und den Computern herstellen muss, die sich in einem privaten Netzwerk hinter dem Gateway befinden.

Wenn der Client ein Netzwerkpaket an einen Computer im privaten Remotenetzwerk sendet, bettet IPsec das Datenpaket in ein IPsec-Paket ein, das an die Adresse des Remotegateways adressiert ist. Das Gateway extrahiert das Paket und leitet es an den Zielcomputer im privaten Netzwerk weiter.

Wenn Sie diese Option aktivieren, können nur die öffentliche IP-Adresse des Gatewaycomputers und die IP-Adressen der Computer im privaten Netzwerk konfiguriert werden. Weitere Informationen finden Sie unter Assistent für neue Verbindungssicherheitsregel: Tunnelendpunkte (Seite) – Client-zu-Gateway.

Gateway-zu-Client

Aktivieren Sie diese Option, wenn Sie eine Regel für einen Gatewaycomputer erstellen möchten, der mit einem privaten und einem öffentlichen Netzwerk verbunden ist, aus dem er Netzwerkverkehr von Remoteclients empfängt.

Wenn der Client ein Netzwerkpaket an einen Computer im privaten Netzwerk sendet, bettet IPsec das Datenpaket in ein IPsec-Paket ein, das an die öffentliche IP-Adresse dieses Gatewaycomputers adressiert ist. Wenn der Gatewaycomputer das Paket empfängt, extrahiert er das Paket und leitet es dann an den Zielcomputer im privaten Netzwerk weiter.

Wenn ein Computer im privaten Remotenetzwerk eine Antwort an den Clientcomputer senden muss, wird das Datenpaket an den Gatewaycomputer weitergeleitet. Der Gatewaycomputer bettet das Datenpaket in ein IPsec-Paket ein, das an den Remoteclientcomputer adressiert ist, und leitet das IPsec-Paket dann über das öffentliche Netzwerk an den Remoteclientcomputer weiter.

Wenn Sie diese Option aktivieren, können nur die Adressen von Computern im privaten Netzwerk und die öffentliche IP-Adresse des Gatewaycomputers konfiguriert werden. Weitere Informationen finden Sie unter Assistent für neue Verbindungssicherheitsregel: Tunnelendpunkte (Seite) – Gateway-zu-Client.

IPsec-geschützte Verbindungen ausschließen

Es kann vorkommen, dass ein Netzwerkpaket mit mehr als einer Verbindungssicherheitsregel übereinstimmt. Wenn durch eine dieser Regeln ein IPsec-Tunnel aufgebaut wird, können Sie angeben, ob der Tunnel verwendet werden soll oder ob das Paket außerhalb des Tunnels und geschützt durch die andere Regel gesendet werden soll.

Ja

Aktivieren Sie diese Option, wenn die Verbindung bereits durch eine andere Verbindungssicherheitsregel geschützt wird und das Netzwerkpaket nicht durch den IPsec-Tunnel gesendet werden soll. Jeglicher Netzwerkverkehr, der durch das ESP-Protokoll (Encapsulating Security Payload) einschließlich ESP-Null geschützt wird, wird daran gehindert, den Tunnel zu durchqueren.

Nein

Aktivieren Sie diese Option, wenn alle Netzwerkpakete, die der Tunnelregel entsprechen, durch den Tunnel gesendet werden sollen, und zwar auch dann, wenn sie durch eine weitere Verbindungssicherheitsregel geschützt werden.

Weitere Verweise


Inhaltsverzeichnis